Esplora come connettere infrastrutture e servizi Azure a un account storage Azure Data Lake disattivando l’accesso dalla rete pubblica per incrementare la sicurezza.
Connessione a Data Lake in Azure: un approccio sicuro e privato
In un’era dove la sicurezza dei dati è prioritaria, disabilitare l’accesso alla rete pubblica degli account di archiviazione su Azure rappresenta una strategia efficace per rafforzare la protezione dei dati. Attraverso questo articolo, viene illustrato come garantire la connettività da servizi di infrastruttura come macchine virtuali (IaaS) e da servizi di piattaforma come Azure Data Factory (PaaS) a un account Azure Data Lake Storage (ADLS) con accesso pubblico disattivato, affrontando anche possibili problematiche.
In che modo la disattivazione dell’accesso alla rete pubblica influisce sulla connettività?
Disabilitare l’accesso pubblico a un account di archiviazione Azure implica bloccare tutte le richieste che non provengono da una rete virtuale privata. Di conseguenza, l’account di archiviazione diventa inaccessibile dal portale di Azure, SDK o strumenti che sfruttano l’endpoint pubblico. È quindi necessario stabilire una connessione attraverso un endpoint privato o servizi con collegamento privato all’account di archiviazione, un beneficio importante in termini di sicurezza dei dati aziendali.
Creazione di una connettività sicura da IaaS e PaaS a ADLS con rete privata
La connessione da un servizio IaaS come una macchina virtuale Azure necessita della creazione di una macchina virtuale stessa regione dell’account di archiviazione e della configurazione di una nuova rete virtuale con una subnet dedicata. Per accedere ai contenuti dell’account di archiviazione da una macchina virtuale, occorre utilizzare strumenti come Microsoft Azure Storage Explorer, attenzionando al possibile errore di autorizzazione 403 in assenza di configurazione corretta dell’endpoint privato.
Da un servizio PaaS come Azure Data Factory, il flusso di connessione comincia con la creazione di un nuovo collegamento (linked service) dallo studio di Azure Data Factory. Se l’accesso pubblico è disabilitato, è necessario utilizzare un runtime di integrazione virtuale gestito e creare un endpoint privato per permettere la connessione all’account di archiviazione da Azure Data Factory.
Configurazione dell’endpoint privato per IaaS e PaaS
Per configurare correttamente l’endpoint privato è necessario procedere dal portale di Azure, sotto le impostazioni di rete dell’account di archiviazione, ed effettuare la creazione dell’endpoint privato. È importante che l’endpoint privato sia nella stessa rete virtuale della macchina virtuale. Similarmente, quando si utilizza Azure Data Factory, si predispone un endpoint privato gestito dal servizio stesso.
Risoluzione dei problemi e monitoraggio della connessione
È raccomandabile condurre un’analisi dei log monitorando le richieste fallite tramite Azure Monitor log queries, assicurandosi che l’origine della richiesta corrisponda all’indirizzo IP privato della macchina virtuale o del runtime di integrazione. Un test della connessione Net o l’uso di telnet può aiutare a verificare se la risoluzione DNS dell’endpoint privato funzioni correttamente.
Conclusione
Gestire i propri account di archiviazione con l’accesso pubblico disattivato è un passo importante verso la sicurezza approfondita dei dati. Seguendo le indicazioni qui esposte, gli utenti possono garantire una connessione sicura e privata ai propri account ADLS da servizi IaaS e PaaS, aumentando così la loro protezione contro accessi non autorizzati e potenziali minacce alla sicurezza.
- Connectivity from IaaS(VM) and PaaS service(ADF) to ADLS account with public network access disabled
- Azure Private Endpoints
- Microsoft Azure Storage Explorer
- Tutorial: Use Azure Private Endpoint for secure access to Azure Storage
- Managed virtual network and managed private endpoints – Azure Data Factory | Microsoft Learn